Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland
(EKD-Datenschutzgesetz – DSG-EKD)
Vom 15. November 2017
(ABl. EKD 2017 S. 353, 2018 S. 35; ABl. EKD 2018 S. 215; KABl. 2018 S. 42)
mit den Durchführungsbestimmungen zum Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland
(Datenschutzdurchführungsbestimmungen – DSDB) Vom 17. Mai 2018
(KABl. 2018 S. 110, S. 163) Änderungen Lfd.
Nr.
Änderndes Recht Datum Fundstelle Geänderte Artikel
Art der Änderung 1 Gesetzesvertreten-
de Verordnung des Rates der Evangeli- schen Kirche in Deutschland zur Änderung des EKD-Datenschutz- gesetzes und dienstrechtlicher Regelungen zum Zwecke der institu- tionellen Aufarbei- tung sexualisierter Gewalt
24. Juni 2021 ABl. EKD 2021 S. 158 Inhaltsübersicht geändert
§ 4 Nr. 22 eingefügt
§ 7 Abs. 1 Nr. 9 und 10
geändert
§ 7 Abs. 1 Nr. 11 eingefügt
§ 13 Abs. 2 Nr. 9 und 10
geändert
§ 13 Abs. 2 Nr. 11 eingefügt
§ 49 Abs. 4 Nr. 3 geändert
§ 49 Abs. 4 Nr. 4 geändert
§ 49 Abs. 4 Nr. 5 eingefügt
§ 50a eingefügt
Inhaltsübersicht1
Präambel
Kapitel 1 Allgemeine Bestimmungen
§ 1 Schutzzweck
§ 2 Anwendungsbereich
§ 3 Seelsorgegeheimnis und Amtsverschwiegenheit
§ 4 Begriffsbestimmungen
Kapitel 2 Verarbeitung personenbezogener Daten
§ 5 Grundsätze
§ 6 Rechtmäßigkeit der Verarbeitung
§ 7 Rechtmäßigkeit der Zweckänderung
§ 8 Offenlegung an kirchliche oder öffentliche Stellen
§ 9 Offenlegung an sonstige Stellen
§ 10 Datenübermittlung an und in Drittländer oder an internationale Organisationen
§ 11 Einwilligung
§ 12 Einwilligung Minderjähriger in Bezug auf elektronische Angebote
§ 13 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 14 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
§ 15 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Kapitel 3 Rechte der betroffenen Person
§ 16 Transparente Information, Kommunikation
§ 17 Informationspflicht bei unmittelbarer Datenerhebung
§ 18 Informationspflicht bei mittelbarer Datenerhebung
§ 19 Auskunftsrecht der betroffenen Person
§ 20 Recht auf Berichtigung
§ 21 Recht auf Löschung
§ 22 Recht auf Einschränkung der Verarbeitung
§ 23 Informationspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung
§ 24 Recht auf Datenübertragbarkeit
§ 25 Widerspruchsrecht
Kapitel 4 Pflichten der verantwortlichen Stellen und Auftragsverarbeiter
§ 26 Datengeheimnis
1 Inhaltsübersicht geändert durch Gesetzesvertretende Verordnung des Rates der Evangelischen Kirche in Deutschland zur Änderung des EKD-Datenschutzgesetzes und dienstrechtlicher Regelungen zum Zwecke der institutionellen Aufarbeitung sexualisierter Gewalt vom 24. Juni 2021.
§ 27 Technische und organisatorische Maßnahmen, IT-Sicherheit
§ 28 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
§ 29 Gemeinsam verantwortliche Stellen
§ 30 Verarbeitung von personenbezogenen Daten im Auftrag
§ 31 Verzeichnis von Verarbeitungstätigkeiten
§ 32 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
§ 33 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
§ 34 Datenschutz-Folgenabschätzung
§ 35 Audit und Zertifizierung
Kapitel 5 Örtlich Beauftragte für den Datenschutz
§ 36 Bestellung von örtlich Beauftragten für den Datenschutz
§ 37 Stellung
§ 38 Aufgaben
Kapitel 6 Unabhängige Aufsichtsbehörden
§ 39 Errichtung der Aufsichtsbehörden und Bestellung der Beauftragten für den Datenschutz
§ 40 Unabhängigkeit
§ 41 Tätigkeitsbericht
§ 42 Rechtsstellung
§ 43 Aufgaben
§ 44 Befugnisse
§ 45 Geldbußen
Kapitel 7 Rechtsbehelfe und Schadensersatz
§ 46 Recht auf Beschwerde
§ 47 Rechtsweg
§ 48 Schadensersatz durch verantwortliche Stellen
Kapitel 8 Vorschriften für besondere Verarbeitungssituationen
§ 49 Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen
§ 50 Verarbeitung personenbezogener Daten für wissenschaftliche und statistische Zwecke
§ 50a Verarbeitung personenbezogener Daten zur institutionellen Aufarbeitung sexualisierter Gewalt
§ 51 Verarbeitung personenbezogener Daten durch die Medien
§ 52 Videoüberwachung öffentlich zugänglicher Räume
§ 53 Gottesdienste und kirchliche Veranstaltungen Kapitel 9 Schlussbestimmungen
§ 54 Ergänzende Bestimmungen
§ 55 Übergangsregelungen
§ 56 Inkrafttreten, Außerkrafttreten
Präambel
1Dieses Kirchengesetz wird erlassen in Ausübung des verfassungsrechtlich garantierten Rechts der evangelischen Kirche, ihre Angelegenheiten selbstständig innerhalb der Schranken des für alle geltenden Gesetzes zu ordnen und zu verwalten. 2Dieses Recht ist europarechtlich geachtet und festgeschrieben in Artikel 91 und Erwägungsgrund 165 Ver- ordnung EU 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundver- ordnung) sowie Artikel 17 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). 3In Wahrnehmung dieses Rechts stellt dieses Kirchengesetz den Einklang mit der Datenschutz-Grundverordnung her und regelt die Datenverarbeitung im kirchlichen und diakonischen Bereich. 4Die Datenverarbeitung dient der Erfüllung des kirchlichen Auftrags.
Kapitel 1 Allgemeine Bestimmungen
§ 1 Schutzzweck
Zweck dieses Kirchengesetzes ist es, die einzelne Person davor zu schützen, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beein- trächtigt wird.
§ 2
Anwendungsbereich
(1) 1Dieses Kirchengesetz gilt für die Verarbeitung personenbezogener Daten durch die Evangelische Kirche in Deutschland, die Gliedkirchen und die gliedkirchlichen Zusam- menschlüsse, alle weiteren kirchlichen juristischen Personen des öffentlichen Rechts sowie die ihnen zugeordneten kirchlichen und diakonischen Dienste, Einrichtungen und Werke ohne Rücksicht auf deren Rechtsform (kirchliche Stelle). 2Die Evangelische Kirche in Deutschland, die Gliedkirchen und die gliedkirchlichen Zusammenschlüsse stellen sicher, dass auch in den ihnen zugeordneten Diensten, Einrichtungen und Werken dieses Kir- chengesetz sowie die zu seiner Ausführung und Durchführung erlassenen weiteren Be-
stimmungen Anwendung finden. 3Die Evangelische Kirche in Deutschland und die Glied- kirchen führen jeweils für ihren Bereich eine Übersicht über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit, für die dieses Kirchengesetz gilt. 4In die Übersicht sind Name, Anschrift, Rechtsform und Tätigkeitsbereich der kirchlichen Werke und Einrichtungen aufzunehmen.
(2) Dieses Kirchengesetz gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(3) Dieses Kirchengesetz findet Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer kirchlichen Stelle oder in deren Auftrag, unabhängig vom Ort der Verarbeitung.
(4) Dieses Kirchengesetz findet keine Anwendung auf die Verarbeitung personenbezo- gener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
(5) Die Vorschriften dieses Kirchengesetzes gehen denen des Verwaltungsverfahrens- und -zustellungsgesetzes der Evangelischen Kirche in Deutschland vor, soweit bei der Ermittlung des Sachverhaltes personenbezogene Daten verarbeitet werden.
(6) Soweit andere Rechtsvorschriften, die kirchliche Stellen anzuwenden haben, die Ver- arbeitung personenbezogener Daten regeln, gehen sie diesem Kirchengesetz vor.
§ 1
Führen der Übersicht (zu § 2 Absatz 1 DSG-EKD)
(1) Das Landeskirchenamt führt die Übersicht über die kirchlichen und diakonischen Einrichtungen mit eigener Rechtspersönlichkeit.
(2)1Die Übersicht besteht aus zwei Teilen:
a) den zugeordneten kirchlichen Einrichtungen, b) den zugeordneten diakonischen Einrichtungen.
(3)1Um die Anwendung des DSG-EKD und dieser Durchführungsbestimmungen sicher- zustellen, ist in den jeweiligen Satzungen der nach den Absätzen 1 und 2 zugeordneten kirchlichen Einrichtungen eine entsprechende Formulierung über die Anwendung des DSG-EKD und der Durchführungsbestimmungen aufzunehmen. 2Für die diakonischen Einrichtungen ist dieses sichergestellt über die Satzung der Diakonie RWL: in § 3 Absatz 5 Buchstabe d für das Diakonische Werk selbst und in § 7 Absatz 7 Buchstabe d in Verbindung mit § 7 Absatz 2 für die Mitglieder im Diakonischen Werk.
2Die zugeordneten diakonischen Einrichtungen ergeben sich aus der Liste der Mitglieds- einrichtungen des Diakonischen Werkes Rheinland-Westfalen-Lippe e. V. (Diakonie RWL), die ihren Sitz auf dem Gebiet der Evangelischen Kirche von Westfalen haben.
§ 3
Seelsorgegeheimnis und Amtsverschwiegenheit
1Aufzeichnungen, die in Wahrnehmung eines kirchlichen Seelsorgeauftrages erstellt wer- den, dürfen Dritten nicht zugänglich sein. 2Die besonderen Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses bleiben unberührt. 3Gleiches gilt für die sonstigen Verpflichtungen zur Wahrung gesetzlicher Geheimhaltungs- und Verschwiegenheits- pflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen.
§ 41
Begriffsbestimmungen Im Sinne dieses Kirchengesetzes bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
identifizierbar ist eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Stand- ortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merk- malen identifiziert werden kann, die Ausdruck der physischen, physiologischen, ge- netischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind,
2. „besondere Kategorien personenbezogener Daten“
a) alle Informationen, aus denen religiöse oder weltanschauliche Überzeugungen einer natürlichen Person hervorgehen, ausgenommen Angaben über die Zugehö- rigkeit zu einer Kirche oder einer Religions- oder Weltanschauungsgemeinschaft, b) alle Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen oder die Gewerkschaftszugehörigkeit einer natürlichen Person her- vorgehen,
c) genetische Daten,
d) biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, e) Gesundheitsdaten,
f) Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person, 3. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung,
1 § 4 Nr. 21 geändert und Nr. 22 eingefügt durch Gesetzesvertretende Verordnung des Rates der Evangelischen Kirche in Deutschland zur Änderung des EKD-Datenschutzgesetzes und dienstrechtlicher Regelungen zum Zwecke der institutionellen Aufarbeitung sexualisierter Gewalt vom 24. Juni 2021.
die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstel- lung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung,
4. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken,
5. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, ins- besondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen,
6. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbe- zogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden,
7. „Anonymisierung“ die Verarbeitung personenbezogener Daten derart, dass die Ein- zelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig hohen Aufwand an Zeit, Kosten und Arbeitskraft einer be- troffenen Person zugeordnet werden können,
8. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach be- stimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet ge- führt wird,
9. „verantwortliche Stelle“ die natürliche oder juristische Person, kirchliche Stelle im Sinne von § 2 Absatz 1 Satz 1 oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet,
10. „Auftragsverarbeiter“ eine natürliche oder juristische Person, kirchliche oder sonstige Stelle, die personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbei- tet,
11. „Empfänger“ eine natürliche oder juristische Person, kirchliche oder sonstige Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht,
12. „Dritter“ eine natürliche oder juristische Person, kirchliche oder sonstige Stelle, außer der betroffenen Person, der verantwortlichen Stelle, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung der kirchlichen Stelle oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, 13. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und
unmissverständlich abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,
14. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Verän- derung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu per- sonenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden,
15. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen ge- netischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbeson- dere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden,
16. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbe- zogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merk- malen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten, 17. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geis- tige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesund- heitsdienstleistungen, beziehen und aus denen Informationen über deren Gesund- heitszustand hervorgehen,
18. „Drittland“ einen Staat, in dem die Datenschutz-Grundverordnung keine Anwendung findet,
19. „Unternehmen“ eine natürliche oder juristische Person, die eine wirtschaftliche Tä- tigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personen-, Kapital- gesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen,
20. „Beschäftigte“
a) die in einem Pfarrdienst- oder in einem kirchlichen Beamtenverhältnis oder in einem sonstigen kirchlichen öffentlich-rechtlichen Dienstverhältnis stehenden Personen,
b) Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
c) zu ihrer Berufsausbildung Beschäftigte,
d) Teilnehmende an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärun- gen der beruflichen Eignung oder Arbeitserprobungen (Rehabilitationen), e) Beschäftigte in anerkannten Werkstätten für Menschen mit Behinderungen, f) nach dem Bundesfreiwilligen- oder dem Jugendfreiwilligendienstgesetz oder in
vergleichbaren Diensten Beschäftigte,
g) Personen, die wegen ihrer wirtschaftlichen Unselbstständigkeit als arbeitnehmer- ähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Be- schäftigten und die ihnen Gleichgestellten,
h) Bewerbende für ein Beschäftigungsverhältnis sowie Personen, deren Beschäfti- gungsverhältnis beendet ist,
21. „IT-Sicherheit“ den Schutz der mit Informationstechnik verarbeiteten Daten insbe- sondere vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor der Gefahr des Verlustes, um deren Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleis- ten;
22. „institutionelle Aufarbeitung sexualisierter Gewalt“ jede systematische, nicht auf den Einzelfall bezogene Untersuchung von Vorkommnissen sexualisierter Gewalt, ins- besondere betreffend deren Ursachen, Rahmenbedingungen und Folgen.
Kapitel 2
Verarbeitung personenbezogener Daten
§ 5 Grundsätze
(1) Personenbezogene Daten sind nach folgenden Grundsätzen zu verarbeiten:
1. Rechtmäßigkeit, Verhältnismäßigkeit, Verarbeitung nach Treu und Glauben, Trans- parenz,
2. Zweckbindung: Personenbezogene Daten werden für festgelegte, eindeutige und le- gitime Zwecke erhoben. Sie dürfen nicht in einer mit diesen Zwecken nicht zu ver- einbarenden Weise weiterverarbeitet werden. Eine Weiterverarbeitung für im kirchli- chen Interesse liegende Archivzwecke, für wissenschaftliche oder historische For- schungszwecke oder für statistische Zwecke gilt als vereinbar mit den ursprünglichen Zwecken,
3. Datenminimierung: Die Verarbeitung personenbezogener Daten wird auf das dem Zweck angemessene und notwendige Maß beschränkt; personenbezogene Daten sind zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungs- zweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck un- verhältnismäßigen Aufwand erfordert,
4. Richtigkeit: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,
5. Speicherbegrenzung: Personenbezogene Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten dür- fen länger gespeichert werden, soweit sie für die Zwecke des Archivs, der wissen- schaftlichen und historischen Forschung sowie der Statistik verarbeitet werden, 6. Integrität und Vertraulichkeit: Personenbezogene Daten werden in einer Weise verar-
beitet, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Zerstörung oder unbeabsichtigter Schädigung.
(2) Die verantwortliche Stelle muss die Einhaltung der Grundsätze nachweisen können (Rechenschaftspflicht).
§ 6
Rechtmäßigkeit der Verarbeitung
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingun- gen erfüllt ist:
1. eine Rechtsvorschrift erlaubt die Verarbeitung der personenbezogenen Daten oder ordnet sie an,
2. die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben, 3. die Verarbeitung ist zur Erfüllung der Aufgaben der verantwortlichen Stelle erforder-
lich, einschließlich der Ausübung kirchlicher Aufsicht,
4. die Verarbeitung ist für die Wahrnehmung einer sonstigen Aufgabe erforderlich, die im kirchlichen Interesse liegt,
5. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die be- troffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgt,
6. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der die kirchliche Stelle unterliegt,
7. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen,
8. die Verarbeitung ist zur Wahrung der berechtigten Interessen eines Dritten erforder- lich, sofern nicht die schutzwürdigen Interessen der betroffenen Person überwiegen, insbesondere dann, wenn diese minderjährig ist.
§ 71
Rechtmäßigkeit der Zweckänderung
(1) Die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personen- bezogenen Daten ursprünglich erhoben wurden (Zweckänderung), ist nur rechtmäßig, wenn
1. eine kirchliche Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
2. eine staatliche Rechtsvorschrift dies vorsieht und kirchliche Interessen nicht entge- genstehen,
3. die betroffene Person eingewilligt hat,
4. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt, und kein Grund zu der Annahme besteht, dass diese in Kenntnis des anderen Zweckes ihre Einwilli- gung verweigern würde,
5. Angaben der betroffenen Person überprüft werden müssen, weil Anhaltspunkte für deren Unrichtigkeit bestehen,
6. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen darf, es sei denn, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung offensicht- lich überwiegt,
7. Grund zu der Annahme besteht, dass andernfalls die Wahrnehmung des kirchlichen Auftrages gefährdet würde,
8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,
9. sie zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissen- schaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann;
1§ 7 Abs. 1 Nr. 9 und 10 geändert und Nr. 11 eingefügt durch Gesetzesvertretende Verordnung des Rates der Evangelischen Kirche in Deutschland zur Änderung des EKD-Datenschutzgesetzes und dienstrechtlicher Regelungen zum Zwecke der institutionellen Aufarbeitung sexualisierter Gewalt vom 24. Juni 2021.
10. sie für statistische Zwecke zur Erfüllung des kirchlichen Auftrages erforderlich ist oder
11. sie zur institutionellen Aufarbeitung sexualisierter Gewalt gemäß § 50a erforderlich ist.
(2) 1In anderen Fällen muss die kirchliche Stelle feststellen, ob die Zweckänderung mit dem Zweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, verein- bar ist. 2Dabei berücksichtigt sie unter anderem
1. jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erho- ben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
2. den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbe- sondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und der kirchlichen Stelle,
3. die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien perso- nenbezogener Daten verarbeitet werden oder ob personenbezogene Daten über straf- rechtliche Verurteilungen und Straftaten gemäß § 14 verarbeitet werden,
4. die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Per- sonen,
5. das Vorhandensein geeigneter Garantien, zu denen die Verschlüsselung, die Pseudo- nymisierung oder die Anonymisierung gehören kann.
(3) 1Eine Verarbeitung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Visitations-, Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Revision oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. 2Das gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen der be- troffenen Person entgegenstehen.
(4) Personenbezogene Daten, die ausschließlich für Zwecke der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Daten- verarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
(5) Die Verarbeitung von besonderen Kategorien personenbezogener Daten für andere Zwecke ist nur rechtmäßig, wenn die Voraussetzungen vorliegen, die eine Verarbeitung nach § 13 Absatz 2 zulassen.
§ 8
Offenlegung an kirchliche oder öffentliche Stellen
(1) Die Offenlegung von personenbezogenen Daten an kirchliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der offenlegenden oder der empfangenden kirchlichen Stelle liegenden Aufgaben erforderlich ist und
2. die Zulässigkeitsvoraussetzungen des § 6 vorliegen.
(2)1Die Verantwortung für die Zulässigkeit der Offenlegung trägt die offenlegende ver- antwortliche Stelle. 2Erfolgt die Offenlegung auf Ersuchen der empfangenden kirchlichen Stelle, trägt diese die Verantwortung. 3In diesem Fall prüft die offenlegende verantwort- liche Stelle nur, ob das Ersuchen im Rahmen der Aufgaben der datenempfangenden kirch- lichen Stelle liegt, es sei denn, dass besonderer Anlass zur Prüfung der Rechtmäßigkeit der Offenlegung besteht.
(3)1Die datenempfangende kirchliche Stelle darf die offengelegten Daten für den Zweck verarbeiten, zu dessen Erfüllung sie ihr offengelegt werden. 2Eine Verarbeitung für andere Zwecke ist nur unter den Voraussetzungen des § 7 zulässig.
(4) Sind mit personenbezogenen Daten, die nach Absatz 1 offengelegt werden dürfen, weitere personenbezogene Daten der betroffenen oder einer anderen Person so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Offenlegung auch dieser Daten zulässig, soweit nicht berechtigte Interessen der betroffe- nen oder einer anderen Person an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig.
(5) Absatz 4 gilt entsprechend, wenn personenbezogene Daten innerhalb einer kirchlichen Stelle weitergegeben werden.
(6) Personenbezogene Daten dürfen an Stellen anderer öffentlich-rechtlicher Religions- gesellschaften offengelegt werden, wenn das zur Erfüllung der Aufgaben erforderlich ist, die der offenlegenden oder der empfangenden Stelle obliegen, und sofern sichergestellt ist, dass bei der empfangenden Stelle ausreichende Datenschutzmaßnahmen getroffen werden und nicht offensichtlich berechtigte Interessen der betroffenen Person entgegen- stehen.
(7) Personenbezogene Daten dürfen an Behörden und sonstige öffentliche Stellen des Bundes, der Länder und der Gemeinden und der sonstigen der Aufsicht des Bundes oder eines Landes unterstehenden juristischen Personen des öffentlichen Rechts offengelegt werden, wenn dies eine Rechtsvorschrift zulässt oder dies zur Erfüllung der Aufgaben erforderlich ist, die der offenlegenden Stelle obliegen, und offensichtlich berechtigte In- teressen der betroffenen Person nicht entgegenstehen.
(8)1Die datenempfangenden Stellen nach Absatz 6 und 7 dürfen die offengelegten Daten nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihnen offengelegt werden. 2Die offenlegende Stelle hat sie darauf hinzuweisen.
§ 9
Offenlegung an sonstige Stellen
(1) Die Offenlegung von personenbezogenen Daten an sonstige Stellen oder Personen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der offenlegenden kirchlichen Stelle liegen- den Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbei- tung nach § 8 zulassen, oder
2. eine Rechtsvorschrift dies zulässt oder
3. die datenempfangenden Stellen oder Personen ein berechtigtes Interesse an der Kennt- nis der offenzulegenden Daten glaubhaft darlegen und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Offenlegung hat, es sei denn, dass Grund zu der Annahme besteht, dass durch die Offenlegung die Wahrnehmung des Auftrags der Kirche gefährdet würde.
(2) Das Offenlegen von besonderen Kategorien personenbezogener Daten ist abweichend von Absatz 1 Nummer 3 nur zulässig, soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.
(3) Die Verantwortung für die Zulässigkeit der Offenlegung trägt die offenlegende kirch- liche Stelle; durch Kirchengesetz oder durch kirchliche Rechtsverordnung kann die Of- fenlegung von der Genehmigung einer anderen kirchlichen Stelle abhängig gemacht wer- den.
(4) 1In den Fällen der Offenlegung nach Absatz 1 Nummer 3 unterrichtet die offenlegende kirchliche Stelle die betroffene Person von der Offenlegung ihrer Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, dass sie davon auf andere Weise Kenntnis erlangt oder die Wahrnehmung des Auftrages der Kirche gefährdet würde.
(5) 1Die datenempfangenden Stellen und Personen dürfen die offengelegten Daten nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihnen offengelegt werden. 2Die offenle- gende Stelle hat sie darauf hinzuweisen.
§ 10
Datenübermittlung an und in Drittländer oder an internationale Organisationen (1) Jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen, die bereits verarbeitet werden oder nach ihrer Übermittlung verarbeitet werden sollen, ist über die weiteren Voraussetzungen der Datenverarbeitung hinaus nur zulässig, wenn
1. die EU-Kommission ein angemessenes Datenschutzniveau entsprechend den Bestim- mungen des Artikels 45 Absatz 2 Datenschutz-Grundverordnung festgestellt hat,
2. als geeignete Garantien Standarddatenschutzklauseln verwendet werden, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 Datenschutz-Grund- verordnung erlassen oder genehmigt worden sind.
(2) Falls die Voraussetzungen des Absatzes 1 nicht vorliegen, ist die Übermittlung zu- lässig, wenn
1. die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich einge- willigt hat, nachdem sie über die für sie bestehenden möglichen Risiken aufgeklärt worden ist,
2. die Übermittlung für die Erfüllung eines Vertrages oder Rechtsverhältnisses zwischen der betroffenen Person und der verantwortlichen Stelle oder zur Durchführung von vertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist, 3. die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen
Person von der verantwortlichen Stelle mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrages erforderlich ist,
4. die Übermittlung aus wichtigen Gründen des kirchlichen Interesses notwendig ist, 5. die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsan-
sprüchen erforderlich ist oder
6. die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
§ 11 Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss die verantwortliche Stelle nach- weisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2)1Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen, sodass es von anderen Sachverhalten klar zu unterscheiden ist. 2Soweit die Erklärung unter Um- ständen abgegeben worden ist, die gegen dieses Kirchengesetz verstoßen, ist sie unwirk- sam.
(3)1Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. 2Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der auf Grund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. 3Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. 4Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Maß Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Ver- trags nicht erforderlich sind.
§ 12
Einwilligung Minderjähriger in Bezug auf elektronische Angebote
1Minderjährige, denen elektronische Angebote von kirchlichen Stellen gemacht werden, können in die Verarbeitung ihrer Daten wirksam einwilligen, wenn sie religionsmündig sind. 2Sind die Minderjährigen noch nicht religionsmündig, ist die Verarbeitung nur recht- mäßig, wenn die Sorgeberechtigen die Einwilligung erteilt oder der Einwilligung zuge- stimmt haben. 3Die Einwilligung der Sorgeberechtigten ist nicht erforderlich, wenn kirch- liche Präventions- oder Beratungsdienste einem Kind unmittelbar angeboten werden.
§ 131
Verarbeitung besonderer Kategorien personenbezogener Daten (1) Besondere Kategorien personenbezogener Daten dürfen nicht verarbeitet werden.
(2) Abweichend von Absatz 1 dürfen besondere Kategorien personenbezogener Daten verarbeitet werden, wenn
1. die betroffene Person in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat,
2. die Verarbeitung erforderlich ist, damit die verantwortliche Stelle oder die betroffene Person die ihr aus dem Arbeits- und Dienstrecht sowie dem Recht der sozialen Si- cherheit und des Sozialschutzes erwachsenden Rechte ausüben und ihren diesbezü- glichen Pflichten nachkommen kann, soweit dies nach kirchlichem oder staatlichem Recht oder nach einer Dienstvereinbarung nach den kirchlichen Mitarbeitervertre- tungsgesetzen, die geeignete Garantien für die Rechte und die Interessen der betrof- fenen Person vorsehen, rechtmäßig ist,
3. die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person aus körper- lichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, 4. die Verarbeitung durch eine verantwortliche Stelle im Rahmen ihrer rechtmäßigen
Tätigkeiten und unter der Voraussetzung erfolgt, dass sich die Verarbeitung aus- schließlich auf die Mitglieder oder ehemalige Mitglieder der verantwortlichen Stelle
1 § 13 Abs. 2 Nr. 9 und 10 geändert und Nr. 11 eingefügt durch Gesetzesvertretende Verordnung des Rates der Evangelischen Kirche in Deutschland zur Änderung des EKD-Datenschutzgesetzes und dienstrechtlicher Regelungen zum Zwecke der institutionellen Aufarbeitung sexualisierter Gewalt vom 24. Juni 2021.
oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
5. die Verarbeitung sich auf personenbezogene Daten bezieht, die die betroffene Person öffentlich gemacht hat,
6. die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsan- sprüchen oder bei Handlungen der Kirchengerichte im Rahmen ihrer justiziellen Tä- tigkeit erforderlich ist,
7. die Verarbeitung auf der Grundlage kirchlichen Rechts, das in angemessenem Ver- hältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen kirch- lichen Interesses erforderlich ist,
8. die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diag- nostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage kirchlichen oder staatlichen Rechts oder auf Grund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 ge- nannten Bedingungen und Garantien erforderlich ist,
9. die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des kirchlichen oder staatlichen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbe- sondere des Berufsgeheimnisses vorsieht, erforderlich ist;
10. die Verarbeitung für im kirchlichen Interesse liegende Zwecke des Archivs, der wis- senschaftlichen oder historischen Forschung oder der Statistik erfolgt und die Inter- essen der betroffenen Person durch angemessene Maßnahmen gewahrt sind oder 11. die Verarbeitung für Zwecke der institutionellen Aufarbeitung sexualisierter Gewalt
gemäß § 50a erforderlich ist und die Interessen der betroffenen Person durch ange- messene Maßnahmen gewahrt sind.
(3) Besondere Kategorien personenbezogener Daten dürfen für die in Absatz 2 Nummer 8 genannten Zwecke verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach kirch- lichem oder staatlichem Recht der Berufsgeheimnispflicht unterliegt, oder wenn die Ver- arbeitung durch eine andere Person erfolgt, die ebenfalls nach kirchlichem oder staatlichem Recht einer Geheimhaltungspflicht unterliegt.
§ 14
Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straf- taten oder damit zusammenhängende Sicherungsmaßregeln ist unter den Voraussetzungen des § 6 zulässig, wenn dies das kirchliche oder staatliche Recht, das geeignete Garantien für die Rechte der betroffenen Personen vorsieht, zulässt.
§ 15
Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
(1) Ist für die Zwecke, für die eine verantwortliche Stelle personenbezogene Daten ver- arbeitet, die Identifizierung der betroffenen Person durch die verantwortliche Stelle nicht oder nicht mehr erforderlich, so ist diese nicht verpflichtet, zur bloßen Einhaltung dieses Kirchengesetzes zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbei- ten, um die betroffene Person zu identifizieren.
(2) 1Kann die verantwortliche Stelle in Fällen gemäß Absatz 1 nachweisen, dass sie nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet sie die betroffene Person hierüber, sofern dies möglich ist. 2In diesen Fällen finden die §§ 17 bis 24 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Vor- schriften niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.
Kapitel 3
Rechte der betroffenen Person
§ 16
Transparente Information, Kommunikation
(1) Die verantwortliche Stelle trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen, die nach diesem Kirchengesetz hinsichtlich der Verarbeitung zu geben sind, in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermit- teln; dies gilt insbesondere für Informationen, die sich speziell an Minderjährige richten.
(2) Die verantwortliche Stelle erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den §§ 19 bis 25.
(3) 1Die verantwortliche Stelle stellt der betroffenen Person Informationen über die er- griffenen Maßnahmen gemäß den §§ 19 bis 25 innerhalb von drei Monaten nach Eingang des Antrags zur Verfügung. 2Diese Frist kann um zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der Anträge erforderlich ist.
3Die verantwortliche Stelle unterrichtet die betroffene Person innerhalb von drei Monaten nach Eingang über eine Fristverlängerung zusammen mit den Gründen für die Verzöge- rung.
(4) Wird die verantwortliche Stelle auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet sie die betroffene Person ohne Verzögerung, spätestens aber innerhalb von drei Monaten nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei der Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
(5)1Informationen werden unentgeltlich zur Verfügung gestellt. 2Bei offenkundig unbe- gründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann die verantwortliche Stelle sich weigern, auf Grund des An- trags tätig zu werden, oder ein angemessenes Entgelt verlangen.
§ 17
Informationspflicht bei unmittelbarer Datenerhebung
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt die verantwortliche Stelle der betroffenen Person auf Verlangen in geeigneter und angemes- sener Weise Folgendes mit:
1. den Namen und die Kontaktdaten der verantwortlichen Stelle, 2. gegebenenfalls die Kontaktdaten der oder des örtlich Beauftragten,
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezo- genen Daten.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt die verantwortliche Stelle der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten auf Verlangen folgende weitere Informationen zur Verfügung:
1. falls möglich die Dauer, für die die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, 2. das Bestehen eines Rechts auf Auskunft, auf Berichtigung, auf Löschung, auf Ein-
schränkung der Verarbeitung, auf Datenübertragbarkeit sowie eines Widerspruchs- rechts gegen die Verarbeitung,
3. das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde,
4. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vor- geschrieben oder für einen Vertragsabschluss erforderlich ist, und welche mögliche Folgen die Nichtbereitstellung hätte.
(3) Beabsichtigt die verantwortliche Stelle, die personenbezogenen Daten für einen an- deren Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt sie der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt, oder die Informationspflicht einen unver- hältnismäßigen Aufwand erfordern würde.
§ 18
Informationspflicht bei mittelbarer Datenerhebung
(1) 1Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt die verantwortliche Stelle der betroffenen Person über die in § 17 Absatz 1 und 2 aufge- führten Informationen hinaus die zu ihr gespeicherten Daten mit, auch soweit sie sich auf Herkunft oder empfangende Stellen beziehen. 2§ 17 Absatz 4 gilt entsprechend.
(2) Von dieser Verpflichtung ist die verantwortliche Stelle befreit, soweit die Daten oder die Tatsache ihrer Speicherung auf Grund einer speziellen Rechtsvorschrift oder wegen überwiegender berechtigter Interessen Dritter geheim gehalten werden müssen und das Interesse der betroffenen Person an der Auskunftserteilung zurücktreten muss oder wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird.
§ 19
Auskunftsrecht der betroffenen Person
(1) 1Der betroffenen Person ist auf Antrag Auskunft zu erteilen über die zu ihr gespei- cherten personenbezogenen Daten. 2Die Auskunft muss folgende Informationen enthalten:
1. die Verarbeitungszwecke,
2. die Kategorien personenbezogener Daten,
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbe- zogenen Daten offengelegt worden sind,
4. falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, 5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden per- sonenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die verant- wortliche Stelle oder eines Widerspruchsrechts gegen diese Verarbeitung,
6. das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde,
7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.
(2) Auskunft darf nicht erteilt werden, soweit die Daten oder die Tatsache ihrer Speiche- rung auf Grund einer speziellen Rechtsvorschrift oder wegen überwiegender berechtigter Interessen Dritter geheim gehalten werden müssen und das Interesse der betroffenen Per- son an der Auskunftserteilung zurücktreten muss, oder wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird.
(3) Die Auskunft ist unentgeltlich.
(4) Absatz 1 findet keine Anwendung, soweit die Auskunft einen unverhältnismäßigen Aufwand erfordern würde.
§ 20
Recht auf Berichtigung
(1)1Unrichtige personenbezogene Daten sind auf Antrag der betroffenen Person unver- züglich zu berichtigen. 2Unter Berücksichtigung der Zwecke der Verarbeitung hat die be- troffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Da- ten – auch mittels einer ergänzenden Erklärung – zu verlangen.
(2)1Das Recht auf Berichtigung besteht nicht, wenn die personenbezogenen Daten zu Archivzwecken im kirchlichen Interesse verarbeitet werden. 2Bestreitet die betroffene Person die Richtigkeit der personenbezogenen Daten, ist ihr die Möglichkeit einer Ge- gendarstellung einzuräumen. 3Das zuständige Archiv ist verpflichtet, die Gegendarstellung den Unterlagen hinzuzufügen.
§ 21 Recht auf Löschung (1) Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist,
3. die betroffene Person ihre Einwilligung bezüglich der Verarbeitung ihrer Daten wi- derruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt, 4. die betroffene Person gemäß § 25 Widerspruch gegen die Verarbeitung einlegt und
keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
5. die Löschung der personenbezogenen Daten zur Erfüllung rechtlicher Verpflichtungen der verantwortlichen Stelle notwendig ist,
6. die Löschung personenbezogener Daten verlangt wird, die bei elektronischen Ange- boten, die Minderjährigen direkt gemacht worden sind, erhoben wurden.
(2) Hat die verantwortliche Stelle die personenbezogenen Daten öffentlich gemacht und ist sie gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft sie unter Berücksichtigung
der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um die für die Datenverarbeitung verantwortlichen Stellen, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist 1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information,
2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach kirchlichem oder staatlichem Recht, dem die verantwortliche Stelle unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im kirchlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, die der verantwortlichen Stelle übertragen wurde, 3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß
§ 13 Absatz 2 Nummer 8 bis 9,
4. für im kirchlichen Interesse liegende Archivzwecke, wissenschaftliche oder histori- sche Forschungszwecke oder für statistische Zwecke, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
5. zur Geltendmachung von Rechtsansprüchen sowie zur Ausübung oder Verteidigung von Rechten.
(4) Ist eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit un- verhältnismäßig hohem Aufwand möglich, tritt an die Stelle des Rechts auf Löschung das Recht auf Einschränkung der Verarbeitung gemäß § 22.
(5) Vorschriften über das Archiv- und Kirchenbuchwesen bleiben unberührt.
§ 22
Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht gegenüber der verantwortlichen Stelle auf Ein- schränkung der Verarbeitung, wenn eine der folgenden Voraussetzungen gegeben ist:
1. die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person be- stritten, und zwar für eine Dauer, die es der verantwortlichen Stelle ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
2. die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der per- sonenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten,
3. die verantwortliche Stelle benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendma- chung, Ausübung oder Verteidigung von Rechtsansprüchen, oder
4. die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß § 25 eingelegt und es steht noch nicht fest, ob die berechtigten Gründe der verantwortlichen Stelle gegenüber denen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbe- zogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen kirchlichen Interesses verarbeitet werden.
(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von der verantwortlichen Stelle unterrichtet, bevor die Einschränkung aufgehoben wird.
(4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschrän- kung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.
(5) Vorschriften über das Archiv- und Kirchenbuchwesen bleiben unberührt.
§ 23
Informationspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung
1Die verantwortliche Stelle teilt allen Empfängern, denen personenbezogene Daten offen- gelegt werden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach den §§ 20 bis 22 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. 2Die verant- wortliche Stelle unterrichtet die betroffene Person über diese Empfänger, wenn die be- troffene Person dies verlangt.
§ 24
Recht auf Datenübertragbarkeit
(1)1Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einer verantwortlichen Stelle bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einer an- deren verantwortlichen Stelle ohne Behinderung durch die verantwortliche Stelle, der die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
1. die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und 2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
2Die betroffene Person kann verlangen, dass die personenbezogenen Daten direkt von der verantwortlichen Stelle einem anderen Dritten übermittelt werden, soweit dies technisch machbar ist.
(2) Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung, die für die Wahr- nehmung einer Aufgabe erforderlich ist, die im kirchlichen Interesse liegt oder in Aus- übung kirchlicher Aufsicht erfolgt, die der kirchlichen Stelle übertragen wurde.
(3) Das Recht gemäß Absatz 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
§ 25 Widerspruchsrecht
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Si- tuation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Da- ten gemäß § 6 Nummer 1, 3, 4 oder 8 Widerspruch einzulegen; dies gilt auch für die Verarbeitung personenbezogener Daten im Rahmen eines Profilings.
(2) Der Widerspruch verpflichtet die verantwortliche Stelle dazu, die Verarbeitung zu unterlassen, soweit nicht an der Verarbeitung ein zwingendes kirchliches Interesse besteht, das Interesse einer dritten Person überwiegt oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.
Kapitel 4
Pflichten der verantwortlichen Stellen und Auftragsverarbeiter
§ 26 Datengeheimnis
1Den bei der Datenverarbeitung tätigen Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). 2Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zu verpflichten, soweit sie nicht auf Grund anderer kirchlicher Bestimmungen zur Verschwiegenheit verpflichtet wurden. 3Das Da- tengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 27
Technische und organisatorische Maßnahmen, IT-Sicherheit
(1) 1Die verantwortliche Stelle und der kirchliche Auftragsverarbeiter haben unter Be- rücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Um- fangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Ein- trittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natür- licher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und einen Nachweis hierüber führen zu können. 2Diese Maßnahmen schließen unter anderem ein:
1. die Pseudonymisierung, die Anonymisierung und die Verschlüsselung personenbezo- gener Daten,
2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Sys- teme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, 3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall unverzüglich wiederher- zustellen,
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirk- samkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung, unbefugte Of- fenlegung von oder unbefugten Zugang zu personenbezogenen Daten, die übermittelt, ge- speichert oder auf andere Weise verarbeitet wurden.
(3) Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Ver- hältnis zu dem angestrebten Schutzzweck steht.
(4) Die Einhaltung eines nach dem EU-Recht zertifizierten Verfahrens kann als Gesichts- punkt herangezogen werden, um die Erfüllung der Pflichten der verantwortlichen Stelle gemäß Absatz 1 nachzuweisen.
(5) Die verantwortliche Stelle und der kirchliche Auftragsverarbeiter stellen sicher, dass natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf ihre Weisung verarbeiten.
(6)1Verantwortliche Stellen und Auftragsverarbeiter sind verpflichtet, IT-Sicherheit zu gewährleisten. 2Das Nähere regelt der Rat der Evangelischen Kirche in Deutschland durch Rechtsverordnung mit Zustimmung der Kirchenkonferenz.
§ 28
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte natürlicher Personen trifft die verantwortliche Stelle sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung technische und organisatorische Maßnahmen, die geeignet sind, die Daten- schutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung
aufzunehmen, um den Anforderungen dieses Kirchengesetzes zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) 1Die verantwortliche Stelle trifft technische und organisatorische Maßnahmen, die ge- eignet sind, durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Ver- arbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, zu verar- beiten. 2Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. 3Solche Maß- nahmen müssen insbesondere geeignet sein, dass personenbezogene Daten nicht ohne Eingreifen der verantwortlichen Stelle durch Voreinstellungen einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(3) Die Einhaltung eines nach EU-Recht zertifizierten Verfahrens kann als Gesichtspunkt herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 genannten Maßnah- men nachzuweisen.
§ 29
Gemeinsam verantwortliche Stellen
(1) 1Legen zwei oder mehr verantwortliche Stellen gemeinsam die Zwecke und die Mittel zur Verarbeitung fest, so sind sie gemeinsam verantwortliche Stellen. 2Sie legen in einer Vereinbarung in transparenter Form fest, wer welche Verpflichtung gemäß diesem Kir- chengesetz erfüllt, soweit die jeweiligen Aufgaben der verantwortlichen Stellen nicht durch Rechtsvorschriften festgelegt sind.
(2) 1In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. 2Das Wesentliche der Vereinbarung wird der betroffenen Person auf Verlangen zur Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte im Rahmen dieses Kirchengesetzes bei und gegenüber jeder einzelnen verantwortlichen Stelle geltend machen.
§ 30
Verarbeitung von personenbezogenen Daten im Auftrag
(1) 1Werden personenbezogene Daten im Auftrag durch andere Stellen oder Personen verarbeitet, ist die auftraggebende kirchliche Stelle für die Einhaltung der Vorschriften dieses Kirchengesetzes und anderer Vorschriften über den Datenschutz verantwortlich.
2Die in Kapitel 3 genannten Rechte sind ihr gegenüber geltend zu machen. 3Zuständig für die Aufsicht ist die Aufsichtsbehörde der beauftragenden kirchlichen Stelle.
(2) Für eine Auftragsverarbeitung in Drittländern gilt § 10.
(3)1Der Auftragsverarbeiter ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.
2Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Verarbeitung, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 27 zu treffenden technischen und organisatorischen Maßnahmen sowie ihre Kontrolle durch den Auftragsverarbeiter,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die Verpflichtung der Beschäftigten des Auftragsverarbeiters auf das Datengeheim- nis,
6. gegebenenfalls die Berechtigung zur Begründung sowie die Bedingungen von Un- terauftragsverhältnissen,
7. die Kontrollrechte der beauftragenden kirchlichen Stelle und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters,
8. mitzuteilende Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Per- sonen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnis, die sich die beauftragende kirchliche Stelle ge- genüber dem Auftragsverarbeiter vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragsverarbeiter gespeicherter Daten nach Beendigung des Auftrags.
3Die beauftragende kirchliche Stelle hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und or- ganisatorischen Maßnahmen zu überzeugen. 4Das Ergebnis ist zu dokumentieren.
(4)1Der Auftragsverarbeiter darf die Daten nur im Rahmen der Weisungen der kirchlichen Stelle verarbeiten. 2Ist er der Ansicht, dass eine Weisung der kirchlichen Stelle gegen dieses Kirchengesetz oder andere Vorschriften über den Datenschutz verstößt, hat er die kirch- liche Stelle unverzüglich darauf hinzuweisen.
(5)1Sofern die kirchlichen Datenschutzbestimmungen auf den Auftragsverarbeiter keine Anwendung finden, ist die kirchliche Stelle verpflichtet sicherzustellen, dass der Auf- tragsverarbeiter diese oder gleichwertige Bestimmungen beachtet. 2In diesem Fall dürfen sich abweichend von Absatz 3 die Vertragsinhalte an Artikel 28 EU-Datenschutz-Grund- verordnung orientieren. 3Der Auftragsverarbeiter unterwirft sich der kirchlichen Daten- schutzaufsicht.
(6) Die Absätze 1 bis 5 gelten entsprechend, wenn die Prüfung oder Wartung automati- sierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlos- sen werden kann.
(7) 1Das Recht der Evangelischen Kirche in Deutschland, der Gliedkirchen und der glied- kirchlichen Zusammenschlüsse kann bestimmen, dass vor der Beauftragung die Geneh- migung einer kirchlichen Stelle einzuholen ist oder Mustervereinbarungen zu verwenden sind. 2Bei der Beauftragung anderer kirchlicher Stellen kann in den Rechtsvorschriften von Absatz 3 Satz 2 Nummer 3, 5, 7 und 9 und Satz 4 abgesehen werden.
(8) Die Einhaltung von genehmigten Verhaltensregeln und die Verwendung zertifizierter und kirchlich geprüfter Informationstechnik können herangezogen werden, um die Erfül- lung der datenschutzrechtlichen Anforderungen durch den Auftragsverarbeiter nachzu- weisen.
§ 31
Verzeichnis von Verarbeitungstätigkeiten
(1) 1Jede verantwortliche Stelle führt ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. 2Dieses Verzeichnis enthält folgende Angaben:
1. den Namen und die Kontaktdaten der verantwortlichen Stelle und gegebenenfalls der gemeinsam mit ihr verantwortlichen Stelle sowie gegebenenfalls der oder des örtlich Beauftragten,
2. die Zwecke der Verarbeitung,
3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personen- bezogener Daten,
4. gegebenenfalls die Verwendung von Profiling,
5. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten of- fengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen,
6. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe der dort getroffenen geeigneten Garantien,
7. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Daten- kategorien,
8. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 27.
(2) Jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag einer verantwortlichen Stelle durchgeführten Tätigkeiten der Verarbeitung, das Folgendes enthält:
1. den Namen und die Kontaktdaten der Auftragsverarbeiter und jeder verantwortlichen Stelle, in deren Auftrag der Auftragsverarbeiter tätig ist, sowie der örtlich Beauftragten, 2. die Kategorien von Verarbeitungen, die im Auftrag jeder verantwortlichen Stelle
durchgeführt werden,
3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe der dort getroffenen geeigneten Garantien,
4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 27.
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich oder elektronisch zu führen.
(4) Verantwortliche Stellen und Auftragsverarbeiter stellen der Aufsichtsbehörde die Verzeichnisse auf Anfrage zur Verfügung.
(5)1Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für verantwortliche Stellen, die weniger als 250 Beschäftigte haben. 2Kirchliche Stellen, die weniger als 250 Beschäftigte haben, erstellen Verzeichnisse nach Absatz 1 und 2 nur hinsichtlich der Ver- fahren, die die Verarbeitung besonderer Kategorien personenbezogener Daten einschlie- ßen.
(6) Das Recht der Evangelischen Kirche in Deutschland, der Gliedkirchen und der glied- kirchlichen Zusammenschlüsse kann vorsehen, dass für einheitliche Verfahren das Ver- zeichnis zentral geführt wird.
§ 32
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem nicht unerheblichen Risiko für die Rechte natürlicher Personen führt, meldet die verantwortliche Stelle dies unverzüglich der Aufsichtsbehörde.
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Da- ten bekannt wird, meldet er diese der verantwortlichen Stelle unverzüglich.
(3) Die Meldung gemäß Absatz 1 enthält insbesondere folgende Informationen:
1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen
